Sicherheitsforscher haben eine schwerwiegende Sicherheitslücke in Palo Alto Networks PAN-OS entdeckt, die bereits aktiv von Angreifern ausgenutzt wird. Die als CVE-2026-0300 katalogisierte Schwachstelle ermöglicht es nicht authentifizierten Angreifern, über das User-ID Authentication Portal und den Captive Portal einen Buffer Overflow auszulösen und beliebigen Code mit Root-Rechten auf betroffenen Systemen auszuführen. Der CVSS-Score beträgt 9,3 – damit gilt die Lücke als kritisch.
Betroffen sind PA-Series- und VM-Series-Firewalls, die weltweit in Unternehmensnetzen und kritischen Infrastrukturen eingesetzt werden. Palo Alto Networks hat die Schwachstelle bestätigt und rät Administratoren, sofortige Maßnahmen zu ergreifen, bis ein vollständiger Patch verfügbar ist.
Die Sicherheitslücke sitzt im User-ID Authentication Portal von PAN-OS, das für die Benutzeridentifizierung in Netzwerken zuständig ist. Ein speziell gestaltetes HTTP-Paket genügt, um einen Speicherüberlauf (Buffer Overflow) auszulösen. Da keine Authentifizierung erforderlich ist, können Angreifer die Lücke aus dem Netzwerk heraus ausnutzen, ohne vorher Zugangsdaten zu benötigen.
Die Ausnutzung führt zu Remote Code Execution (RCE) mit Root-Rechten auf der betroffenen Firewall. Das bedeutet: Ein erfolgreicher Angriff gibt dem Angreifer vollständige Kontrolle über das Gerät – inklusive Netzwerkverkehr, VPN-Verbindungen und angebundene Systeme. Sicherheitsbehörden mehrerer Länder haben bereits Warnungen herausgegeben und auf aktive Ausnutzung in freier Wildbahn hingewiesen.
Nicht betroffen sind laut Hersteller Prisma Access, Cloud NGFW sowie Panorama-Verwaltungsplattformen. Dennoch sollten Administratoren alle PAN-OS-Installationen umgehend prüfen.
Da der vollständige Patch erst ab dem 13. Mai 2026 mit PAN-OS-Version 12.1.4-h5 verfügbar sein wird, hat Palo Alto Networks einen temporären Workaround empfohlen: Administratoren sollten das User-ID Authentication Portal sowie den Captive Portal entweder deaktivieren oder den Zugriff auf vertrauenswürdige IP-Adressen beschränken. Diese Maßnahme unterbricht zwar bestimmte Funktionen der Benutzererkennung, schützt aber effektiv vor einer Remote-Ausnutzung der Lücke.
Die Deaktivierung ist in den Geräteeinstellungen unter Device > User Identification > User Mapping möglich. Alternativ können Firewall-Regeln eingesetzt werden, um eingehende Anfragen an das Authentication Portal auf interne Verwaltungsnetze zu begrenzen. Palo Alto Networks empfiehlt außerdem, alle Systeme auf Anzeichen einer Kompromittierung zu prüfen und Anomalien im Traffic zu überwachen.
Unternehmen, die PAN-OS produktiv einsetzen, sollten den Patch-Zeitplan fest einplanen und das Update am 13. Mai 2026 priorisiert einspielen. Bei Unsicherheiten empfiehlt sich der Kontakt zum Palo Alto Networks Support oder einem spezialisierten Cybersecurity-Dienstleister.
CVE-2026-0300 reiht sich in eine Serie schwerwiegender Sicherheitsvorfälle des laufenden Jahres ein. Erst im März 2026 sorgte ein massives Datenleck bei Booking.com für Aufsehen, bei dem Millionen von Nutzerdaten kompromittiert wurden. Kurz darauf folgte ein weitreichender DNS-Ausfall bei DENIC, der zahlreiche .de-Domains stundenlang unerreichbar machte.
Auch auf staatlicher Ebene reagiert man auf die wachsende Bedrohungslage: Der Bundestag wechselt auf verschlüsselte Kommunikation via Signal und Wire, um sensible Kommunikation besser zu schützen. Die aktuelle Palo Alto-Lücke verdeutlicht, dass selbst spezialisierte Sicherheitsgeräte keine absolute Garantie bieten – und schnelles Patch-Management entscheidend bleibt.
Cybersecurity-Experten mahnen, dass Netzwerkgeräte wie Firewalls und VPN-Gateways zunehmend im Fokus staatlich geförderter Angreifer stehen. Die Kompromittierung einer Perimeter-Firewall kann gesamte Netzwerke offenlegen und stellt daher ein besonders hohes Risiko dar.
Sicherheitsverantwortliche sollten folgende Schritte umgehend einleiten: Erstens, alle eingesetzten PAN-OS-Versionen inventarisieren und prüfen, ob PA-Series oder VM-Series Firewalls betroffen sind. Zweitens, den Workaround (Deaktivierung bzw. Einschränkung des User-ID Authentication Portals) unverzüglich umsetzen. Drittens, Log-Dateien auf Anzeichen einer Kompromittierung analysieren – insbesondere auf ungewöhnliche Prozesse mit Root-Rechten oder auffälligen Netzwerkverkehr.
Der Patch auf PAN-OS 12.1.4-h5 sollte sobald wie möglich ab dem 13. Mai 2026 eingespielt werden. Bis dahin ist erhöhte Wachsamkeit geboten. Palo Alto Networks stellt auf seiner Support-Seite weitere technische Details und Indicators of Compromise (IoCs) zur Verfügung, die bei der Analyse helfen können.
Quellen: Palo Alto Networks Security Advisory (Mai 2026), CERT-Bund Warnung CVE-2026-0300, National Vulnerability Database (NVD)
Texte werden mit Unterstützung von KI-Tools erstellt und vor Veröffentlichung redaktionell geprüft. Mehr dazu